exploitDog

GHSA-jmqp-r3gg-6jh3

Опубликовано: 13 июн. 2024

Источник: github

Github: Прошло ревью

CVSS4: 6.3

CVSS3: 6.5

Описание

Magento Open Source Server-Side Request Forgery (SSRF) vulnerability

Adobe Commerce versions 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 and earlier are affected by a Server-Side Request Forgery (SSRF) vulnerability that could result in arbitrary code execution. An attacker could exploit this vulnerability by sending a crafted request to the server, which could then cause the server to execute arbitrary code. Exploitation of this issue does not require user interaction.

Ссылки

Пакеты

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.7

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.6

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.5

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

= 2.4.4

Отсутствует

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.6-p1, < 2.4.6-p6

2.4.6-p6

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

>= 2.4.5-p1, < 2.4.5-p8

2.4.5-p8

Наименование

magento/community-edition

composer

Затронутые версииВерсия исправления

< 2.4.4-p9

2.4.4-p9

EPSS

Процентиль: 61%

0.00412

Низкий

6.3 Medium

CVSS4

6.5 Medium

CVSS3

CVE ID

Дефекты

CWE-918

Связанные уязвимости

CVE-2024-34111

CVSS3: 6.5

nvd

больше 1 года назад

Adobe Commerce versions 2.4.7, 2.4.6-p5, 2.4.5-p7, 2.4.4-p8 and earlier are affected by a Server-Side Request Forgery (SSRF) vulnerability that could lead to arbitrary file system read. A low-privilege authenticated attacker can force the application to make arbitrary requests via injection of arbitrary URLs. Exploitation of this issue does not require user interaction..

BDU:2024-04989

CVSS3: 8.5

fstec

больше 1 года назад

Уязвимость программных платформ для разработки и управления онлайн магазинами Magento Open Source, Adobe Commerce и плагина Adobe Commerce Webhooks, связанная с недостаточной проверкой поступающих запросов, позволяющая нарушителю выполнить произвольный код

EPSS

Процентиль: 61%

0.00412

Низкий

6.3 Medium

CVSS4

6.5 Medium

CVSS3

CVE ID

Дефекты

CWE-918